Sinds 1 januari is de meldplicht datalekken ingegaan. Na constatering van verlies van een USB stick, diefstal van een laptop of inbraak op een computersysteem of website ben je verplicht om binnen 72 uur melding te maken van dit (potentiele) datalek. De Autoriteit Bescherming Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) bekijkt de melding en biedt ondersteuning – maar heeft sinds 1 januari ook flinke tanden gekregen.
Wat is een datalek?
De Autoriteit Bescherming Persoonsgegevens hanteert de volgende definitie:
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Samenvattend betreft dit zowel verlies als diefstal van gegevensdragers als inbreuk op systemen – maar in potentie ook misbruik door bijvoorbeeld personeel of andere ongeautoriseerde personen of partijen. Hier kun je zelf achter komen, maar ook op geattendeerd worden door anderen. Overigens is er wel een verschil tussen een feitelijk datalek waarbij (persoons)gegevens zijn ‘kwijtgeraakt’ of een beveiligingsincident. De ABP schrijft hierover:
Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.
>> Lees op de volgende pagina hoe je datalekken dient te melden.
Eén reactie op “Een datalek zit in een klein hoekje”